Содержание
- Проверка редакции Windows
- Способ 1: Использование различных способов запуска
- Способ 2: Дополнительная установка программных компонентов
- Способ 3: Создание ярлыка в папке со средствами администрирования
- Способ 4: Использование прав Администратора
- Способ 5: Восстановление поврежденных системных файлов
- Способ 6: Установка оснастки
- Вопросы и ответы
Сперва прочитайте вступительный раздел статьи — в нем будет рассказано, почему «Локальная политика безопасности» может отсутствовать на компьютере. После этого будут продемонстрированы способы восстановления работоспособности приложения (при условии, что оно есть, но по каким-то причинам не запускается), а в последнем способе мы расскажем, что делать, если по умолчанию ваша ОС не поддерживает открытие данной оснастки.
В первую очередь проверьте редакцию операционной системы. «Локальная политики безопасности» доступна только в Windows 10 Pro и выше, для редакции Home («Домашняя») в ОС не предусмотрен данный инструмент. Однако его можно будет включить методом, разобранным в самом конце статьи.
Чтобы посмотреть редакцию, нужно перейдите в окно с информацией о программных и аппаратных компонентах Windows 10:
- Щелкните по кнопке «Пуск», затем выберите «Параметры».
- Перейдите в раздел «Система».
- В новом окне на панели слева кликните по пункту «О программе». В центральной части окна должны отобразиться сведения о редакции ОС. В нашем случае это Windows 10 Pro.
Если у вас Windows 10 Home, то «Локальную политику безопасности» обычными способами открыть не получится — сразу переходите к концу статьи.
Способ 1: Использование различных способов запуска
Вероятно, может помочь один из альтернативных методов запуска средства «Локальная политика безопасности», например если через главное меню отыскать инструмент не удалось. Вы можете воспользоваться возможностями «Панели управления», диалоговым окном «Выполнить» или консолью MMC. Попробуйте методы, которые разобраны в нашем отдельном материале.
Подробнее: Расположение локальной политики безопасности в Windows 10
Способ 2: Дополнительная установка программных компонентов
Если редакция системы соответствует требованию, но при попытке запуска возникает уведомление с ошибкой о том, что операцию выполнить невозможно, то попробуйте воспользоваться инструкцией ниже. Она предполагает скачивание дополнительного установочного файла, содержащего утилиту «Локальная политика безопасности» с сервера Microsoft.
Скачать утилиту gpedit.msc с официального сайта
- Перейдите по ссылке выше и скачайте установочный файл с сайта компании Microsoft.
- После скачивания запустите его и следуйте подсказкам пошагового мастера. Но прежде, чем нажать на кнопку «Finish», которая завершает процесс инсталляции, обладателям 64-битной версии системы нужно проделать дополнительные действия. Для этого переходите к следующему Шагу.
Читайте также: Определяем разрядность используемой ОС Windows 10 - Запустите «Проводник» и в адресную строку вставьте следующий путь:
%WinDir%Temp
. Нажмите на клавишу «Enter». Отыщите в открывшейся папке с временными данными такие файлы:- «fde.dll»;
- «gptext.dll»;
- «appmgr.dll»;
- «fdeploy.dll».
Выделите их, зажав клавишу «Ctrl» и кликая поочередно по каждому из них левой кнопкой мыши. Затем щелкните по выделенному ПКМ и выберите пункт «Вырезать» в контекстном меню.
- Далее перейдите через «Проводник» по адресу
C:WindowsSystem32
и переместите туда вырезанные файлы. - В папке по адресу
C:WindowsSysWOW64
аналогичным образом вырежьте следующие элементы:- папки «GroupPolicy» и «GroupPolicyUsers»;
- «gpedit.msc»;
- «GPBAK».
- Затем поместите их в тот же каталог —
C:WindowsSystem32
.
Останется завершить процедуру установки компонентов в пошаговом мастере, затем перезагрузить систему. В большинстве случаев это срабатывает, и «Локальная политика безопасности» начинает открываться.
Перед тем как перемещать системные файлы, рекомендуем создать контрольную точку восстановления, чтобы была возможность откатить состояние операционной системы в случае, если что-то пойдет не так.
Подробнее: Инструкция по созданию точки восстановления Windows 10
Способ 3: Создание ярлыка в папке со средствами администрирования
«Локальная политика безопасности» является средством администрирования и должна располагаться в соответствующем разделе системы. Если по каким-то причинам ярлык исполняемого файла пропал из папки, его нужно вручную вернуть:
- Откройте «Проводник» и перейдите по пути
C:WINDOWSsystem32
. В папке с системными файлами отыщите «secpol.msc», который является исполняемым «Локальной политики безопасности». Кликните по нему правой кнопкой мыши, в контекстном меню наведите курсор на «Отправить» и выберите опцию «Рабочий стол (создать ярлык)». - Вернитесь к рабочему столу и переместите созданный ярлык в следующую директорию:
C:ProgramDataMicrosoftWindowsГлавное менюПрограммыСредства администрирования Windows
.
После этого проблема с запуском «Локальной политики безопасности» должна быть исправлена. Если это сразу не помогло, попробуйте перезапустить систему.
Способ 4: Использование прав Администратора
Вероятно, вы используете простую учетную запись, которая несколько ограничена в различных действиях в системе. Например, без расширенных прав нет возможности запустить некоторые штатные утилиты, включая «Локальную политику безопасности». Чтобы исправить ситуацию, попытайтесь зайти в систему как администратор или получить права Администратора. Более подробно об этом можно узнать из наших отдельных материалов.
Подробнее:
Используем учетную запись «Администратора» в Windows 10
Получение прав Администратора на компьютере с Windows 10
Способ 5: Восстановление поврежденных системных файлов
Если ни один способ не помог вернуть «Локальную политику безопасности» в Windows 10, то, возможно, важные системные файлы были повреждены по различным причинам, например из-за атаки вирусов или ошибок в ОС. В этом случае используйте встроенные утилиты SFC и DISM, которые позволяют восстановить целостность файлов системы и их хранилища. Наш автор в отдельной статье более детально разбирал, как можно применить штатные средства через консоль «Командная строка».
Подробнее: Использование и восстановление проверки целостности системных файлов в Windows 10
Способ 6: Установка оснастки
Этот метод подойдет, как уже было сказано в начале статьи, пользователям с Windows 10 Home — редакцией, где по умолчанию некоторые оснастки для администрирования и управления политиками недоступны. Несмотря на формальное отсутствие приложения и невозможность его включить, есть довольно простой способ установить оснастку «Редактор локальной групповой политики», в результате чего станет доступной и «Локальная политика безопасности».
В первом способе статьи по ссылке ниже мы рассказывали, как установить отсутствующий «Редактор локальной групповой политики» при помощи системного «Блокнота» и простейшего скрипта. Когда вы это сделаете, сможете запустить как его (командой gpedit.msc
), так и «Локальную политику безопасности» (командой secpol.msc
).
Подробнее: Почему не открывается «Редактор локальной групповой политики» в Windows 10 (Способ 1)
Содержание
- Расположение локальной политики безопасности в Windows 10
- Открываем «Локальную политику безопасности» в Windows 10
- Способ 1: Меню «Пуск»
- Способ 2: Утилита «Выполнить»
- Способ 3: «Панель управления»
- Способ 4: Консоль управления Microsoft
- Настройка параметров политики безопасности
- Настройка параметра с помощью консоли Local Security Policy
- Настройка параметра политики безопасности с помощью консоли Редактор локальной групповой политики
- Настройка параметра контроллера домена
- Dadaviz
- Устранение ошибок, связанных с локальной политикой безопасности в Windows 10
- Зачем нужно приложение «Локальная политика безопасности»
- Как открыть программу — инструкция
- Почему приложение отсутствует на компьютере
- Что делать, если редактор групповой политики не открывается
- Отмена внесенных изменений (отключение) через локальную политику безопасности
- Как настроить локальную политику безопасности Windows 10 и работать с ней
- Зачем в Windows нужна локальная политика безопасности
- Какая версия Windows 10 подходит для настроек групповой политики
- Почему в Windows Home/Starter нет инструмента GPEdit
- Где находится и как работает локальная политика безопасности
- Запуск редактора локальной политики безопасности Windows 10
- Функционал редактора групповой политики
- Как выключить локальную политику безопасности
- Локальная политика безопасности Windows 10 не включается
- Видео: как установить редактор групповой политики в Windows
- Как настроить локальную политику безопасности Windows 10 и работать с ней
- Зачем в Windows нужна локальная политика безопасности
- Какая версия Windows 10 подходит для настроек групповой политики
- Почему в Windows Home/Starter нет инструмента GPEdit
- О редакторе
- Где находится и как работает локальная политика безопасности
- Запуск редактора локальной политики безопасности Windows 10
- Функционал редактора групповой политики
- Поиск
- Локальная политика безопасности Windows 10 не включается
- Как установить?
- Способ 1
- Отключение UAC
- Что советует Майкрософт: единственное рабочее решение
- Пример последовательности действий при редактировании определенной политики
- Перенос файлов
- Консоль
- Как менять?
- Структура редактора групповой политики
Расположение локальной политики безопасности в Windows 10
Каждый пользователь должен заботиться о безопасности своего компьютера. Многие прибегают к включению брандмауэра Windows, устанавливают антивирус и другие защитные инструменты, но этого не всегда хватает. Встроенное средство операционной системы «Локальная политика безопасности» позволит каждому вручную оптимизировать работу учетных записей, сетей, редактировать открытые ключи и производить другие действия, связанные с наладкой защищенного функционирования ПК.
Открываем «Локальную политику безопасности» в Windows 10
Сегодня мы бы хотели обсудить процедуру запуска упомянутой выше оснастки на примере ОС Windows 10. Существуют разные методы запуска, которые станут наиболее подходящими при возникновении определенных ситуаций, поэтому целесообразным будет детальное рассмотрения каждого из них. Начнем с самого простого.
Для запуска этой оснастки версия Windows 10 должна быть Профессиональная (Professional) или Корпоративная (Enterprise)! В версии Домашняя (Home), установленной преимущественно на множестве ноутбуков, ее нет.
Способ 1: Меню «Пуск»
Меню «Пуск» активно задействует каждый пользователь на протяжении всего взаимодействия с ПК. Этот инструмент позволяет осуществлять переход в различные директории, находить файлы и программы. Придет на помощь он и при необходимости запуска сегодняшнего инструмента. Вам достаточно просто открыть само меню, ввести в поиске «Локальная политика безопасности» и запустить классическое приложение.
Как видите, отображается сразу несколько кнопок, например «Запуск от имени администратора» или «Перейти к расположению файла». Обратите внимание и на эти функции, ведь они однажды могут пригодиться. Вам также доступно закрепление значка политики на начальном экране или на панели задач, что значительно ускорит процесс ее открытия в дальнейшем.
Способ 2: Утилита «Выполнить»
Стандартная утилита ОС Виндовс под названием «Выполнить» предназначена для быстрого перехода к определенным параметрам, директориям или приложениям путем указания соответствующей ссылки или установленного кода. У каждого объекта имеется уникальная команда, в том числе и у «Локальной политики безопасности». Ее запуск происходит так:
Способ 3: «Панель управления»
Хоть разработчики операционной системы Виндовс постепенно и отказываются от «Панели управления», перемещая или добавляя многие функции только в меню «Параметры», это классическое приложение все еще нормально работает. Через него тоже доступен переход к «Локальной политике безопасности», однако для этого понадобится выполнить такие шаги:
Способ 4: Консоль управления Microsoft
В Консоли управления Майкрософт происходит взаимодействие со всеми возможными в системе оснастками. Каждая из них предназначена для максимально детальной настройки компьютера и применения дополнительных параметров, связанных с ограничениями доступа к папкам, добавлением или удалением определенных элементов рабочего стола и многим другим. Среди всех политик присутствует и «Локальная политика безопасности», но ее еще нужно отдельно добавить.
Приведенный выше способ будет максимально полезен тем юзерам, кто активно использует редактор групповых политик, настраивая там необходимые ему параметры. Если вас интересуют другие оснастки и политики, советуем перейти к отдельной нашей статье по этой теме, воспользовавшись указанной ниже ссылкой. Там вы ознакомитесь с основными моментами взаимодействия с упомянутым инструментом.
Что же касается настройки «Локальной политики безопасности», производится она каждым пользователем индивидуально — им подбираются оптимальные значения всех параметров, но при этом существуют и главные аспекты конфигурации. Детальнее о выполнении этой процедуры читайте далее.
Теперь вы знакомы с четырьмя различными методами открытия рассмотренной оснастки. Вам осталось только подобрать подходящий и воспользоваться им.
Помимо этой статьи, на сайте еще 12336 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.
Отблагодарите автора, поделитесь статьей в социальных сетях.
Источник
Настройка параметров политики безопасности
Область применения
Описывает действия по настройке параметра политики безопасности на локальном устройстве, на устройстве, соединяемом с доменом, и на контроллере домена.
Для выполнения этих процедур необходимо иметь права администраторов на локальном устройстве или иметь соответствующие разрешения на обновление объекта групповой политики (GPO) на контроллере домена.
Если локальный параметр недоступен, это указывает на то, что GPO в настоящее время контролирует этот параметр.
Настройка параметра с помощью консоли Local Security Policy
Чтобы открыть локализованную политику безопасности на экране Начните, введите secpol.mscи нажмите кнопку ENTER.
В Параметры панели безопасности консоли сделайте одно из следующих:
При нажатии параметра политики в области сведений дважды щелкните политику безопасности, которую необходимо изменить.
Измените параметр политики безопасности и нажмите кнопку ОК.
Настройка параметра политики безопасности с помощью консоли Редактор локальной групповой политики
Для выполнения этих процедур необходимо иметь соответствующие разрешения на установку и использование консоли управления Microsoft (MMC) и обновление объекта групповой политики (GPO) на контроллере домена.
Откройте редактор локальной групповой политики (gpedit.msc).
В дереве консоли нажмите кнопку Конфигурациякомпьютера, нажмите кнопку Windows Параметрыи нажмите кнопку Безопасность Параметры.
Выполните одно из следующих действий.
В области сведений дважды щелкните параметр политики безопасности, который необходимо изменить.
Если эта политика безопасности еще не определена, выберите поле Определение этих параметров политики.
Измените параметр политики безопасности и нажмите кнопку ОК.
Если вы хотите настроить параметры безопасности для многих устройств в сети, вы можете использовать консоль управления групповой политикой.
Настройка параметра контроллера домена
Следующая процедура описывает настройку параметра политики безопасности только для контроллера домена (от контроллера домена).
Чтобы открыть политику безопасности контроллера домена в дереве консоли, найдите GroupPolicyObject [ComputerName] Политика, щелкните Конфигурация компьютера, нажмите кнопку Windows Параметры, а затем нажмите кнопку Параметры .
Выполните одно из следующих действий.
В области сведений дважды щелкните политику безопасности, которую необходимо изменить.
Если эта политика безопасности еще не определена, выберите поле Определение этих параметров политики.
Измените параметр политики безопасности и нажмите кнопку ОК.
Источник
Dadaviz
Устранение ошибок, связанных с локальной политикой безопасности в Windows 10
Операционная система Windows всегда отличалась широким выбором возможных настроек, количеством выполняемых задач и поддерживаемых приложений. Но управлять таким объемом ресурсов было бы сложно, если бы не специальная программа, позволяющая изменить все необходимые параметры в одном месте. Именно для этих целей практически во всех версиях Windows, в том числе и в Windows 10, существует специальное приложение «Локальная политика безопасности».
Зачем нужно приложение «Локальная политика безопасности»
В этом приложении находятся разнообразные настройки как для всей системы, так и для отдельных ее пользователей. С помощью этой программы можно выставить различные параметры и ограничения для системы, изменить настройки реестра, удалить или настроить приложения, установленные на компьютере.
В левой стороне окна программы вы можете использовать дерево папок, которое разбито на два самых больших раздела: конфигурация компьютера и пользователя. В каком из них работать зависит от того, хотите ли вы внести изменения для всех пользователей вашего компьютера или только для одного. Если вас интересует первый вариант, то могут понадобиться права администратора.
Каждый из основных разделов имеет три подпункта, в которых находятся все настройки и функции для определенного типа файлов:
Как открыть программу — инструкция
Почему приложение отсутствует на компьютере
Программу «Локальная политика безопасности» отсутствует в домашней и в домашней расширенной версии Windows. Запустить и использовать ее можно только в версии «Профессиональная» или «Максимальная».
Что делать, если редактор групповой политики не открывается
Сначала убедитесь, что ваша операционная система предусматривает наличие программы. Если причина проблемы не в этом, а при попытке открыть программу появляется ошибка, сообщающая, что выполнение операции невозможно, то используйте инструкцию, приведенную ниже.
Отмена внесенных изменений (отключение) через локальную политику безопасности
Если вы стакнулись с тем, что после изменений параметров в приложении у вас появились ошибки в системе, или она стала работать некорректно, то необходимо выполнить откат всех выполненных настроек до значения по умолчанию:
Не стоит изменять настройки локальной политики безопасности в том случае, если вы не разбираетесь в этом или не имеете надежной инструкции, так как это может привести к тому, что вы вызовете появление разнообразных ошибок или полому системы. Если вы решитесь внести какие-либо изменения, то проверяйте результат своей работы после редактирования каждого параметра отдельно, чтобы вовремя заметить, что ваши действия вызвали нежелательный результат.
Источник
Как настроить локальную политику безопасности Windows 10 и работать с ней
Если вы посчитали, что, настроив на своём сервере антивирусы, вы на 100% обезопасили себя и своих клиентов от каких бы то ни было инцидентов, то это ещё не всё. Вам не помешают групповые настройки, исключающие любые ошибки.
Зачем в Windows нужна локальная политика безопасности
Групповая (локальная) политика безопасности (ГПБ/ЛПБ) — это программные средства, обеспечивающие согласованную и максимально эффективную работу компьютеров компании или учреждения. Иметь высокую производительность труда, экономя время и ресурсы — это о вас, если на ПК и ноутбуках под управлением Windows работают настройки группового соединения: вместе эти компьютеры образуют единое целое, помогающее вашей конторе расти и развиваться дальше. Для этого требуется их подключение к одному домену.
Какая версия Windows 10 подходит для настроек групповой политики
Вам нужна Professional/Enterprise — её используют работники частных фирм и госслужащие. Дело в том, что в версии Home/Starter, предназначенной для обычных пользователей, нет компонента gpedit.exe (англ. Group Politics Editor) — нужна его принудительная установка.
Почему в Windows Home/Starter нет инструмента GPEdit
В Home/Starter ГПБ представлена лишь службой «Клиент групповой политики», которую можно отключить совсем. Да и зачем она, если доступ к расширенным настройкам закрыт? Сделано это для предотвращения изменений, вносимых в настройки ОС вредоносным ПО под именем администратора.
Где находится и как работает локальная политика безопасности
Локальные средства безопасности «десятки» управляются службой «Клиент групповой политики». Если эта служба отключена, средство Group Politics Editor не запустится или будет давать сбои в настройке.
Запуск редактора локальной политики безопасности Windows 10
Дайте команду «Пуск — Выполнить» и введите в открывшейся строке команду gpedit.msc.
Подтвердите ввод, нажав OK
Запустить редактор также можно, введя «gpedit» в поиске главного меню Windows 8/10.
Функционал редактора групповой политики
Настройка сервиса ГПБ включает в себя:
Основное окно редактора показывает все настройки групповой политики
Как выключить локальную политику безопасности
Необходимо выключить службу «Клиент групповой политики». Но она «вшита» в Windows 7/8/10 настолько прочно, что остановить и деактивировать её с помощью встроенного мастера настройки служб, вызываемого из диспетчера задач, нельзя.
Самый действенный способ — вмешаться в реестр системы. Сделайте следующее:
В редакторе реестра находим папку «gpsvc», нажимаем «Разрешения»
Без изменения имени вы не сможете добраться до полного доступа к процессу gpsvc
Отметьте все разрешения, удалите лишних пользователей из настройки дополнительного доступа в графе «Группы или пользователи»
В папке gpsvc измените ключ Start, введя значение 4, и система отключится
Это ещё не всё! Вам будет мешать сообщение в трее о неработе службы «Клиент групповой политики».
Оно будет появляться каждый раз, уберите его
Чтобы его убрать, сделайте следующее:
Запустите редактор реестра и удалите из него папку GPClient
Предварительно сохраните эту папку в отдельный файл реестра. Это делается на случай, если работу службы нужно быстро восстановить, не переустанавливая Windows. После удаления папки перезапустите компьютер — уведомление больше не появится.
Локальная политика безопасности Windows 10 не включается
Причины, по которым не включается служба, следующие:
Видео: как установить редактор групповой политики в Windows
Службы и процессы групповой безопасности Windows — полезный инструмент, здорово выручающий в работе. Когда он не нужен, его легко выключить.
Источник
Как настроить локальную политику безопасности Windows 10 и работать с ней
Очень часто для тонкой настройки параметров Windows используется консоль редактора групповых политик (gpedit.msc). Однако в домашних редакциях Windows 10 Home консоль редактор политик отсутствует(в отличии от Windows 10 Pro и Enterprise). Вероятно, что по логике Microsoft домашнему пользователя не нужно править локальные настройки через графический интерфейс gpedit.msc. Соответственно, пользователям домашней редакции Windows 10 приходится вносить изменения через редактор реестра, что не так наглядно и более рискованно с точки зрения возможности ошибиться и что-нибудь сломать в системе.
Появляется ошибка: Не удается найти «gpedit.msc». Проверьте, правильно ли указано имя и повторите попытку.
В этой статье мы разберемся как установить и запустить редактор локальной групповой политики в редакции Windows 10 Home.
Редактор групповой политики это отдельная MMC оснастка, которая по сути представляет собой графическую надстройку для удобного управления параметрами Windows в реестре. При изменении настроек какой-то политики, редактор сразу вносит изменения в связанный параметр реестра. Вместо того, чтобы искать необходимый ключ и вручную править параметр реестра, гораздо проще найти и отредактировать настройку в редакторе gpedit.msc. В редакторе GPO содержится более двух тысяч настроек Windows, которые расположены в стройной иерархии, имеют подробное описание и предлагают для выбора предопределенные опции настройки.
Совет. Соответствие между политиками и ключами реестра можно найти в XLSX документе Microsoft Group Policy Settings Reference Spreadsheet Windows. Версию документа Windows10andWindowsServer2016PolicySettings-1803.xlsx для Windows Server 2020 и Windows 10 1803 можно скачать по ссылке: https://www.microsoft.com/en-us/download/details.aspx?id=56946. В этом таблице вы можете найти какой ключ реестра правиться той или иной настройкой конкретной политики.
Все примененные настройки локальных политик хранятся в registry.pol файлах в каталогах (вы можете преобразовать данные pol файлы в удобный текстовый формат с помощью утилиты lgpo.exe):
Если вы удалите файлы из этих папок, вы сбросите все настройки локальных политик (это бывает полезно, когда после изменения каких-то настроек Windows в политиках компьютер перестал пускать пользователя или не загружается).
Какое-то время назад я нашел сторонний установщик редактора gpedit.msc для Windows 7. Его можно использовать и в Windows 10 (описано в отдельном разделе этой статьи), однако в Windows 10 Home появилась возможность скрытая возможность установки редактора gpedit.msc прямо из установочных файлов образа.
Зачем в Windows нужна локальная политика безопасности
Групповая (локальная) политика безопасности (ГПБ/ЛПБ) — это программные средства, обеспечивающие согласованную и максимально эффективную работу компьютеров компании или учреждения. Иметь высокую производительность труда, экономя время и ресурсы — это о вас, если на ПК и ноутбуках под управлением Windows работают настройки группового соединения: вместе эти компьютеры образуют единое целое, помогающее вашей конторе расти и развиваться дальше. Для этого требуется их подключение к одному домену.
Какая версия Windows 10 подходит для настроек групповой политики
Вам нужна Professional/Enterprise — её используют работники частных фирм и госслужащие. Дело в том, что в версии Home/Starter, предназначенной для обычных пользователей, нет компонента gpedit.exe (англ. Group Politics Editor) — нужна его принудительная установка.
Почему в Windows Home/Starter нет инструмента GPEdit
В Home/Starter ГПБ представлена лишь службой «Клиент групповой политики», которую можно отключить совсем. Да и зачем она, если доступ к расширенным настройкам закрыт? Сделано это для предотвращения изменений, вносимых в настройки ОС вредоносным ПО под именем администратора.
О редакторе
Редактор локальной групповой политики по своей сути является редактором реестра с графическим интерфейсом. Он предназначен для проведения тонких настроек Windows. В данный момент, разработчики вырезали редактор в версиях Домашняя (Home) и Начальная (Starter), оставив его в Windows 10 Профессиональная (Pro) и Корпоративная (Enterprise). Официально, воспользоваться редактором в версиях где он вырезан не получится, поэтому пользователи могут проделать необходимые настройки в редакторе реестра. Но можно вернуть кастомный «редактор с графическим интерфейсом».
Совет! Узнать соответствие политик редактора со значением реестра помогут специальные таблицы от Microsoft: Group Policy Settings Reference for Windows and Windows Server.
Где находится и как работает локальная политика безопасности
Локальные средства безопасности «десятки» управляются службой «Клиент групповой политики». Если эта служба отключена, средство Group Politics Editor не запустится или будет давать сбои в настройке.
Запуск редактора локальной политики безопасности Windows 10
Дайте команду «Пуск — Выполнить» и введите в открывшейся строке команду gpedit.msc.
Подтвердите ввод, нажав OK
Запустить редактор также можно, введя «gpedit» в поиске главного меню Windows 8/10.
Функционал редактора групповой политики
Настройка сервиса ГПБ включает в себя:
Основное окно редактора показывает все настройки групповой политики
Поиск
Открыть «Редактор» можно через штатную строку поиска Windows 10. Для ее вызова кликните по соответствующему ярлыку на панели задач или нажмите сочетание клавиш WIN+S.
Далее начните вводить фразу «Изменение групповой политики». В результатах должна появиться интересующая нас оснастка, останется лишь выбрать нужный пункт.
Локальная политика безопасности Windows 10 не включается
Причины, по которым не включается служба, следующие:
Как установить?
Важно! Так как вы будете работать с системными файлами, всегда есть вероятность повреждения системы. Рекомендую создать точку восстановления.
Способ 1
Чтобы перенести файлы нужны права администратора.
Полезно знать! В Windows 10 разработчики отключили функцию входа в безопасный режим по нажатию кнопки F8 перед загрузкой системы. Они это сделали для более быстрой загрузки ОС. Читать подробнее.
Отключение UAC
Также рекомендуем отключить UAC прежде чем приступать к переносу. Для этого:
Что советует Майкрософт: единственное рабочее решение
Быть может, громко будет сказано, что совет от Майкрософт, но все-таки он официально опубликован в вопросах. Убедитесь сами (answers.microsoft.com/en-us/windows/forum/windows_10-other_settings/how-to-enable-gpeditmsc-in-windows-10-home/9f2ab0da-3821-48e6-9205-fd7755b904f4?page=1).
На скрине представлена инструкция, рабочая на 100%, потому что мы её проверили. Качайте установщик по указанной ссылке (вот её копия с сайта drudger.deviantart.com/art/Add-GPEDIT-msc-215792914) запускайте. Но если попробуете сразу же залезть в редактор политик, то…
Вроде бы уже на что-то похоже, но большая часть папок пуста. Поэтому читаем инструкцию дальше. Осталось всего 2 шага:
Вы видите, что ключей внутри стало явно побольше.
В очередной статье из цикла «конспект админа» мне хотелось бы освежить в памяти несколько нюансов использования групповых политик. Заодно поразвлекаемся с созданием своих шаблонов и с автоматизацией работы с этими самыми политиками.
Я не буду рассказывать, что такое групповые политики, и остановлюсь лишь на основных моментах, которые стоит иметь в виду при работе с ними.
В системах Windows помимо доменных существуют и локальные групповые политики ― управлять ими можно при помощи оснастки gpedit.msc на системах редакции Professional и выше. Часто считается, что без домена можно настраивать локальные групповые политики только для всех пользователей на компьютере. Это не совсем верно ― с выходом Windows Vista появилась возможность использовать множественную локальную групповую политику или MLGPO. Этот механизм позволяет настраивать отдельные политики для разных пользователей.
Добраться до него можно через вызов консоли mmc: при добавлении оснастки «Управление объектами групповой политики» нажать кнопку «Обзор». Далее на вкладке «Пользователи» уже можно выбрать конкретного пользователя или группу «Администраторы» и «Не администраторы». К сожалению, управление для группы пользователей не реализовано.
Управление групповой политикой для отдельных пользователей.
Бывало и так, что на отдельностоящем терминальном сервере разворачивали Active Directory только для того, чтобы отдельному пользователю настроить поведение драйвера для EasyPrint. Не надо так.
При добавлении доменных групповых политик стоит помнить про порядок их применения ― политика, примененная последней, будет обладать наивысшим приоритетом (да и на собеседованиях часто спрашивают).
Итак, предположим, что у нас есть компьютер в домене и четыре групповые политики: локальная на этом компьютере; политика на подразделение, в котором находится компьютер; политика на домен и политика на лес. Порядок их применения будет следующим:
То есть чем ближе к объекту, тем приоритетнее, за исключением локальной групповой политики. Если надо отключить применение вышестоящих политик, то ставьте блокировку наследования.
Блокировка наследования.
Любую групповую политику можно условно разделить на две конфигурации ― пользователя и компьютера. Обычно политики с настройками компьютеров назначаются на подразделение, в котором находятся компьютеры. А политики с настройками пользователей ― на пользователей.
Если надо применить настройки компьютера к подразделению с пользователями и наоборот, используют так называемое замыкание групповой политики. Например, такая настройка пригодится, когда нужно применить специфические политики к пользователям для работы на терминальных серверах.
Работа замыкания настраивается непосредственно в политике ― «Настройка компьютера ― Административные шаблоны ― Система ― Режим обработки замыкания пользовательской групповой политики». Подробнее про механизм уже писали в статье про использование MergeReplace в GPO. Я лишь добавлю, что режим замыкания групповой политики ― тоже частый вопрос на собеседовании.
Настройка замыкания групповой политики.
Физически доменные групповые политики находятся в папке SYSVOL на контроллерах домена. Папка реплицируется между контроллерами. Каждая групповая политика выглядит как папка с именем в виде GUID.
Групповые политики домена.
Правила фильтрации, настраиваемые через редактор групповой политики, соответствуют настройкам прав NTFS на соответствующую подпапку.
Говоря о правилах фильтрации, нельзя не упомянуть обновление MS16-072, которое «сломало» групповые политики. Теперь для того чтобы работали правила фильтрации, надо добавлять к каждому фильтру правило «на чтение», но не «на применение» группе Domain Computers.
В каждой папке с групповой политикой существуют подпапки Machine и User, соответствующие настройкам пользователя и компьютера. Если углубиться в подпапки, можно легко понять структуру групповой политики:
Подробнее про структуру можно почитать в материале Group Policy Basics, поэтому перейдем сразу к шаблонам.
По сути своей административные шаблоны ― это специальные файлы с инструкциями по изменению клиентского реестра (ветки HKCU или HKLM) и настройками отображения изменяемых параметров через «Управление групповой политикой». В принципе, реестр можно менять и через «Предпочтения групповых политик». Но разница здесь не только в красивом интерфейсе.
Способ изменения реестра | Как ведет себя при удалении политики со стандартными настройками | Можно ли изменить параметр вручную | Можно ли изменить параметр через приложение |
Шаблоны | Параметр реестра восстанавливается на значение «по умолчанию», если настройки по умолчанию есть в шаблоне | — | — |
Предпочтения политик | Параметр реестра не изменяется | + | + |
Сравнение предпочтения групповых политик и административных шаблонов.
Другими словами, настройка реестра через шаблоны групповых политик более строгая. Тогда как настройка через предпочтения групповых политик напоминает периодическое применение reg-файла. Конечно, предпочтения позволяют не только менять параметры реестра, но и довольно гибко настраиваются. Тем и ценны.
Это актуально при изменении ветки Policies, и настраиваемое приложение должно хранить свои настройки в реестре. Простое изменение параметров через Предпочтения и Шаблоны будет работать схожим образом, только шаблоны могут оказаться удобнее.
Не обошлось без ложки дегтя ― теперь содержимое файла представляет собой популярный в индустрии формат XML. И создавать новые шаблоны в блокноте стало уже не так удобно.
Под большинство параметров, которые могут понадобиться, шаблоны уже существуют. Кроме того, многие производители приложений выпускают свои административные шаблоны. Вот несколько примеров:
Для начала разберем простой пример. Создадим шаблон групповой политики, который позволит нам включать и выключать отображение скрытых и системных файлов, а заодно и отображение расширений.
Сразу скажу, что это можно провернуть через «Предпочтения групповых политик» ― в параметрах панели управления ― опции папки. Но мы легких путей не ищем и заодно не хотим, чтобы параметры отображения можно было менять вручную.
За необходимые нам параметры отвечают три ключа в реестре:
Разберем подробнее синтаксис файла.
Помимо задействованных опций есть и другие, например:
Подробнее со всеми параметрами можно ознакомится в разделе MSDN ADM Format.
Установить новый шаблон не просто, а очень просто ― достаточно щелкнуть правой кнопкой мыши по пункту «Административные шаблоны», выбрать «Добавление и удаление шаблонов» и добавить наш свежесозданный шаблон.
Добавленный шаблон.
После установки шаблона он отобразится в ветке «Классические административные шаблоны».
Конвертируем шаблон.
Полный листинг получившегося шаблона и файла локализации под спойлером.
Отображение файлов в проводнике Показывать скрытые файлы Когда эта настройка включена, проводник будет показывать скрытые файлы. Показывать системные файлы Когда эта настройка включена, проводник будет показывать системные файлы Показывать расширения файлов Когда эта настройка включена, проводник будет показывать расширения файлов ADMX Migrator encountered a string that is not present in the source ADM string table. ADMX Migrator encountered a policy that does not have a supportedOn value.
Конечно же, можно обойтись без вот-этого-всего и разобраться самостоятельно ― оставлю это в качестве домашнего задания. Благо на портале MSDN есть подробное описание XML-схемы, и есть неплохие материалы с примерами в сети. Например, «Административные шаблоны групповой политики».
Теперь перейдем к автоматизации.
Работать с групповыми политиками из командной строки довольно тоскливо. Основных инструментов можно выделить три.
PowerShell. Есть набор командлетов для резервного копирования, восстановления и управления групповыми политиками. Создание новых политик ограничено ― можно лишь изменять реестр. Впрочем, в большинстве случаев и этого достаточно. В качестве примера создадим групповую политику, которая отключит автоматическое обновление Adobe Reader DC.
За отключение автоматического обновления отвечает ключ реестра bUpdater в ветке [HKEY_LOCAL_MACHINESOFTWAREPoliciesAdobeAcrobat ReaderDCFeatureLockDown]. Установив параметр в 0, мы отключим опцию.
Создание групповой политики на PowerShell будет выглядеть так:
Свежесозданная групповая политика.
Полный список и описание командлетов доступны в материале Technet Group Policy Cmdlets in Windows PowerShell.
Интерфейс COM к GPMC (консоли управления групповой политикой). Способ позволяет сделать с политиками многое, на любом языке программирования, поддерживающим COM-интерфейсы. К сожалению, популярность он не приобрел и примеров в сети довольно мало, несмотря на богатое описание методов интерфейса на портале MSDN. Немногочисленные примеры использования доступны для загрузки в галерее Technet.
LGPO.exe. Не так давно Microsoft заменил набор утилит для работы с локальными групповыми политиками на единую утилиту. Скачать ее можно на официальном сайте. Утилита удобна для копирования и развертывания локальных групповых политик. Заявлена и поддержка MLGPO. Создавать свои политики тоже можно. Также программа удобна для создания и изменения файлов реестра registry.pol. Для примера изменим локальную групповую политику, добавив в нее отключение обновления несчастного Acrobat Reader DC.
Сделаем бэкап локальной групповой политики командой
lgpo.exe /b C:Temp /n «Backup»
В папке C:Temp появится подпапка с GUID по структуре схожая с доменными групповыми политиками:
Теперь развернем registry.pol в текстовый файл:
LGPO.exe /parse /m C:temp\DomainSysvolGPOMachineregistry.pol >> reg.txt
Синтаксис текстового файла очевиден. Добавим в него значения реестра для отключения автоматического обновления «Акробата»:
Добавленный в файл параметр реестра.
Теперь останется завернуть наш reg.txt обратно в registry.pol и импортировать изменившийся файл обратно в локальную групповую политику:
LGPO.exe /r C:Tempreg.txt /w C:Tempregistry.pol LGPO.exe /m C:Tempregistry.pol
Все эти махинации, конечно же, можно завернуть в один скрипт и использовать для массового изменения локальной групповой политики привычным инструментом для запуска команд на удаленных компьютерах. Подробнее про методы запуска команд можно почитать в нашей статье «1000++ способ запуска команд на удаленном компьютере».
Конечно же, зная структуру доменной групповой политики, ничто не мешает сделать удобный именно вам инструмент для создания и управления политиками. Поделитесь в комментариях, есть ли у вас свои способы настройки реестров пользовательских машин?
Пример последовательности действий при редактировании определенной политики
Чтобы на примере рассмотреть настройку политик, в данной статье будет описан механизм скрытия всех апплетов Панели управления, кроме определенных. При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя большую часть апплетов Панели управления, оставив только необходимые. Для этого:
Рис.8 Редактирование параметра политики Отображать только указанные объекты панели управления
Рис.9 Редактирование параметра политики Отображать только указанные объекты панели управления
Рис.10 Список разрешенных элементов панели управления
Рис.11 Список элементов панели управления до изменения параметра локальной групповой политики
Рис.12 Список элементов панели управления после изменения параметра локальной групповой политики
Изменения, которые вносятся через редактор локальной групповой политики, будут применены для всех учетных записей, зарегистрированных в системе, включая учетную запись администратора, который инициировал изменения.
Чтобы настраивать политики для конкретных пользователей, в операционной системе Windows применяется многоуровневая локальная групповая политика:
Перенос файлов
Многие пытаются просто скопировать gpedit.msc из дериктории System32 в аналогичную позицию на Windows 10 home. Но при попытке запуска появляется окно следующего рода.
Кое-где говорится, что нужно поставить FrameNetwork 3.5, но по нашим данным это не соответствует действительности. Тем не менее, можете это сделать из командной строки, запущенной от имени администратора (Win + X), введя рекомендуемую команду: dism /online /enable-feature /featurename:NetFx3 /All /Source:X:sourcessxs /LimitAccess. Вместо Х подставьте установочный носитель (флэш или DVD с ОС Windows 10).
Вы увидите, что это ничего не меняет. Согласно нашим данным, на сайте Майкрософт опубликовано решение проблемы. Читайте дальше!
Консоль
Наверное, один из самых неудобных методов, но поскольку он рабочий, не рассказать о нем мы не можем.
Нажимаете на кнопку поиска и вводите команду mmc. Далее выбираете одноименное приложение.
Консоль запущена. Нажимаете «Файл», затем в меню — «Добавить или удалить оснастку».
Далее выбираете «Редактор объектов групповой политики», нажимаете «Добавить» и затем — ОК.
Как менять?
Нужно заметить, что таблица от Майкрософт сводная. Туда входят многие операционные системы, в том числе XP, который более не поддерживается. Следует ориентироваться на строку, где указана совместимость. Это сложный путь, но мы в начале предупредили, что он не для простых смертных. Теперь, зная эту информацию, не сложно создать своими руками ключ в нужном месте. Вот как это делается:
Структура редактора групповой политики
Оснастка Редактор локальной групповой политики позволяет изменять политики, распространяющиеся как на компьютеры, так и на пользователей.
В панели пространства имен оснастки Редактор локальной групповой политики представлено два узла: Конфигурация компьютера и Конфигурация пользователя.
Узел Конфигурация компьютера содержит параметры политик, определяющих работу компьютера. Эти политики регулируют функционирование операционной системы, определяют права пользователей в системе, работу системных служб и средств безопасности и т. д.
Узел Конфигурация пользователя содержит параметры политик, определяющих работу пользователей.
Рис.3 Редактор локальной групповой политики
Изменение в групповых политиках по умолчанию в операционной системе Windows применяются через полтора часа (90 мин.). За данную настройку опять же отвечает отдельная политика. Частота обновления определяется политикой Интервал обновления групповой политики для компьютеров, которая расположена в узле Конфигурация компьютера > Административные шаблоны > Система > Групповая политика. Интервал указывается в минутах и определяет, как часто компьютер будет предпринимать попытку обновления политик. Рационально уменьшать интервал обновления групповой политики при частом применении изменений.
Рис.4 Настройка частоты обновления политик
Рис.5 Настройка частоты обновления политик
Если необходимо чтобы изменения групповых политик вступили в силу немедленно, можно принудительно применить измененные параметры, которые были внесены в редакторе локальной групповой политики несколькими способами:
Рис.6 Обновление политик в командной строке
С использованием параметра /target можно указать, будет ли это обновление параметров применяться только для пользователя или только для компьютера. Если не указано, обновляются параметры обеих политик.
Рис.7 Обновление политик для пользователя в командной строке
Источник
Локальная политика безопасности (Local Security Policy) — мощный инструмент, который позволяет контролировать различные параметры безопасности на вашем компьютере в операционной системе Windows. Локальная политика безопасности Windows позволяет ограничить использование некоторых функций или разрешить доступ к ним только определенным пользователям.
Вы можете использовать функции локальной политики безопасности для повышения безопасности своего локального компьютера с операционной системой Windows. Оснастка «Локальная политика безопасности» позволяет пользователю управлять политиками паролей, учетных записей, прав пользователей, аудита, управления приложениями и так далее.
Содержание:
- Как открыть локальную политику безопасности через поиск Windows
- Запуск локальной политики безопасности с помощью команды «Выполнить»
- Открытие локальной политики безопасности с помощью меню «Пуск»
- Вход в локальную политику безопасности через Панель управления
- Как открыть локальную политику безопасности с помощью Диспетчера задач
- Переход к локальной политики безопасности из адресной строки Проводника
- Как запустить локальную политику безопасности из системной папки Windows
- Как запустить утилиту локальная политика безопасности с помощью командной строки или PowerShell
- Запуск локальной политику безопасности с помощью редактора локальной групповой политики
- Как закрепить локальною политику безопасности на панели задач
- Выводы статьи
- Как открыть локальную политику безопасности Windows (видео)
Перед пользователем встает вопрос, где находится локальная политика безопасности, чтобы воспользоваться функциями этого инструмента. Существует несколько способов для получения доступа к политикам безопасности локального компьютера.
Вы можете столкнуться с тем, что локальная политика безопасности отсутствует на вашем компьютере. В этом случае непонятно, где локальные политики безопасности находятся на данном ПК.
Необходимо учитывать, что локальная политика безопасности используется только в старших версиях операционной системы Windows: Корпоративной, Профессиональной и для образовательных учреждений. В Домашних версиях Windows этого инструмента нет, поэтому вы не сможете войти в управление локальными политиками безопасности.
Для выполнения настройки локальных политик безопасности необходимо войти в Windows с учетной записью администратора или у вас должны быть права администратора.
В этом руководстве перечислены способы открыть локальную политику безопасности в Windows 10 или Windows 11, используя разные методы системного средства.
Как открыть локальную политику безопасности через поиск Windows
Панель поиска Windows помогает найти нужные файлы, папки и приложения на вашем устройстве, в том числе и системные инструменты.
Выполните следующие действия:
- Щелкните по значку поиска на панели задач, чтобы открыть поиск Windows.
- В строке поиска ведите выражение «локальная политика безопасности».
- Откройте локальную политику безопасности.
- На экране вашего компьютера откроется редактор локальной политики безопасности, в котором вносятся необходимые изменения в параметрах безопасности компьютера.
Запуск локальной политики безопасности с помощью команды «Выполнить»
С помощью выполнения команд в окне «Выполнить» вы можете быстро открывать программы или системные средства на вашем компьютере. Вызывает приложение «Локальная политика безопасности» команда «secpol.msc», которую мы будем использовать в разных методах из этой статьи.
Проделайте следующее:
- Нажмите на клавиатуре «Win» + «R».
- В диалоговое окно «Выполнить» введите команду «msc», а затем нажмите «Enter».
Это действие запустит локальную политику безопасности.
Открытие локальной политики безопасности с помощью меню «Пуск»
В меню «Пуск» в Windows вы можете найти большинство программ на вашем компьютере, включая системные средства Windows.
Локальная политика безопасности Windows 11 запускается следующим образом:
- Откройте меню «Пуск», нажмите на кнопку «Все приложения» в правом верхнем углу.
- Прокрутите страницу вниз, а затем щелкните по «Инструменты Windows».
- В окне «Инструменты Windows» найдите «Локальная политика безопасности» и дважды щелкните по ней.
Локальная политика безопасности Windows 10 открывается из меню «Пуск» таким способом:
- Войдите в меню «Пуск».
- В списке программ найдите папку «Средства администрирования Windows».
- Щелкните по значку «Локальная политика безопасности».
Вход в локальную политику безопасности через Панель управления
Панель управления Windows обеспечивает доступ к различным системным инструментам и настройкам операционной системы.
Сделайте следующее:
- Нажимайте на клавиши «Win» + «R»,
- Введите «control panel» в диалоговом окне «Выполнить» и нажмите кнопку «ОК».
- В окне «Все элементы панели управления» выберите представление для просмотра крупными или мелкими значками.
- Нажмите на «Инструменты Windows».
- В окне «Инструменты Windows» дважды щелкните по значку «Локальная политика безопасности».
Как открыть локальную политику безопасности с помощью Диспетчера задач
Диспетчер задач Windows предоставляет сведения об активных процессах и программах, запущенных на компьютере, другую полезную информацию. Этот инструмент можно использовать не только для завершения или остановки процессов и служб, но и для запуска программ на вашем компьютере.
Воспользуйтесь этими рекомендациями:
- Щелкните правой кнопкой мыши по меню «Пуск».
- В контекстном меню выберите «Диспетчер задач».
- Во вкладке «Процессы» нажмите «Запустить новую задачу» на верхней панели в Windows В Windows 10 откройте меню «Файл», а там кликните «Запустить новую задачу».
- В открывшемся окне, в поле «Открыть:» введите «secpol.msc».
- Нажмите «ОК».
Переход к локальной политики безопасности из адресной строки Проводника
Проводник Windows имеет адресную строку, которую можно использовать для доступа к локальной политике безопасности.
Выполните инструкцию:
- Откройте Проводник Windows.
- Щелкните по адресной строке, введите «secpol.msc».
- Нажмите «Enter» или на стрелку справа от адресной строки.
Как запустить локальную политику безопасности из системной папки Windows
Вы можете запустить локальную политика безопасности непосредственно из папки «Windows», в которой располагается операционная система на компьютере.
Пройдите шаги:
- Откройте окно Проводника.
- Перейдите в следующую папку:
C:WindowsSystem32
- Найдите и дважды щелкните по файлу «secpol» для запуска системного средства.
Как запустить утилиту локальная политика безопасности с помощью командной строки или PowerShell
Если вам более удобно, вы можете применить методы командной строки для запуска локальной политики безопасности на своем ПК. С этой целью можно использовать командную строку или Windows PowerShell, в обоих средствах выполняется одинаковая команда.
Выполните следующее:
- В поле поиска Windows введите «cmd» или «powershell».
- Откройте командную строку или Windows PowerShell.
- В окне системного средства введите «secpol», а затем нажмите на «Enter».
На экране вашего компьютера появится окно «Локальная политика безопасности».
Запуск локальной политику безопасности с помощью редактора локальной групповой политики
Вы можете использовать редактор локальной групповой политики для запуска локальной политики безопасности.
Пройдите следующие шаги:
- В поле поиска Windows введите «gpedit.msc».
- Откройте окно «Редактор локальной групповой политики».
- Перейдите по пути:
Конфигурация компьютера → Конфигурация Windows → Параметры безопасности
- Здесь вы найдете все модули локальной политики безопасности.
Как закрепить локальною политику безопасности на панели задач
Вы можете открыть локальную политику безопасности, используя любой из перечисленных выше методов. Намного проще получить доступ к политикам безопасности прямо из панели задач. Для этого значок инструмента локальной политики безопасности необходимо закрепить на панели задач.
Необходимо выполнить следующее:
- Нажмите на клавиши «Win» + «S».
- В поле поиска введите «локальная политика безопасности».
- В результатах поиска отобразится нужное приложение, выберите «Закрепить на панели задач».
Теперь вы можете запускать локальную политику безопасности непосредственно с панели задач Windows.
Потом можно открепить этот значок от панели задач, если вам больше не нужно, чтобы локальная политика безопасности находилась на этом элементе интерфейса системы.
Выводы статьи
В операционной системе Windows используется локальная политика безопасности, с помощью которой пользователь может управлять некоторыми параметрами безопасности компьютера. Этот инструмент доступен в версиях Windows Корпоративная, Профессиональная и для образовательных учреждений. Вы можете воспользоваться несколькими способами, чтобы открыть локальную политику безопасности на своем компьютере.
Как открыть локальную политику безопасности Windows (видео)
Похожие публикации:
- Как установить пароль на папку в Windows — 3 способа
- Как перенести панель задач Windows 11 — 2 способа
- Как включить и использовать сенсорную клавиатуру Windows 11
- Как в Windows 11 вернуть меню «Пуск» Windows 10
- Исправление ошибки восстановления системы 0x81000203 в Windows
Если вы посчитали, что, настроив на своём сервере антивирусы, вы на 100% обезопасили себя и своих клиентов от каких бы то ни было инцидентов, то это ещё не всё. Вам не помешают групповые настройки, исключающие любые ошибки.
Зачем в Windows нужна локальная политика безопасности
Групповая (локальная) политика безопасности (ГПБ/ЛПБ) — это программные средства, обеспечивающие согласованную и максимально эффективную работу компьютеров компании или учреждения. Иметь высокую производительность труда, экономя время и ресурсы — это о вас, если на ПК и ноутбуках под управлением Windows работают настройки группового соединения: вместе эти компьютеры образуют единое целое, помогающее вашей конторе расти и развиваться дальше. Для этого требуется их подключение к одному домену.
Какая версия Windows 10 подходит для настроек групповой политики
Вам нужна Professional/Enterprise — её используют работники частных фирм и госслужащие. Дело в том, что в версии Home/Starter, предназначенной для обычных пользователей, нет компонента gpedit.exe (англ. Group Politics Editor) — нужна его принудительная установка.
Почему в Windows Home/Starter нет инструмента GPEdit
В Home/Starter ГПБ представлена лишь службой «Клиент групповой политики», которую можно отключить совсем. Да и зачем она, если доступ к расширенным настройкам закрыт? Сделано это для предотвращения изменений, вносимых в настройки ОС вредоносным ПО под именем администратора.
Где находится и как работает локальная политика безопасности
Локальные средства безопасности «десятки» управляются службой «Клиент групповой политики». Если эта служба отключена, средство Group Politics Editor не запустится или будет давать сбои в настройке.
Запуск редактора локальной политики безопасности Windows 10
Дайте команду «Пуск — Выполнить» и введите в открывшейся строке команду gpedit.msc.
Подтвердите ввод, нажав OK
Запустить редактор также можно, введя «gpedit» в поиске главного меню Windows 8/10.
Функционал редактора групповой политики
Настройка сервиса ГПБ включает в себя:
- конфигурацию программ — управляет сторонними приложениями;
- конфигурацию «десятки» — управляет настройками безопасности системы;
- административные шаблоны — фактически это замена утомительного редактирования настроек из реестра.
Основное окно редактора показывает все настройки групповой политики
Как выключить локальную политику безопасности
Необходимо выключить службу «Клиент групповой политики». Но она «вшита» в Windows 7/8/10 настолько прочно, что остановить и деактивировать её с помощью встроенного мастера настройки служб, вызываемого из диспетчера задач, нельзя.
Самый действенный способ — вмешаться в реестр системы. Сделайте следующее:
- Войдите в уже знакомую строку запуска программ «Выполнить» и введите команду «regedit». Откроется редактор реестра.
- Перейдите в директорию HKLMSYSTEMCurrentControlSetServicesgpsvc (процесс gpsvc.exe, видимый в диспетчере задач при работе «Клиента групповой политики», запускается реестром Windows из этого места).
- Правый щелчок мышью откроет меню папки «gpsvc» — выберите «Разрешения».
В редакторе реестра находим папку «gpsvc», нажимаем «Разрешения»
- Выберите другого владельца, зайдя в дополнительные параметры безопасности.
Без изменения имени вы не сможете добраться до полного доступа к процессу gpsvc
- Отметьте все разрешения. Желательно удалить лишних пользователей из настройки неограниченного доступа к службе.
Отметьте все разрешения, удалите лишних пользователей из настройки дополнительного доступа в графе «Группы или пользователи»
- Вернитесь к папке gpsvc в данной директории реестра и измените ключ Start, введя значение 4 («Отключено»).
В папке gpsvc измените ключ Start, введя значение 4, и система отключится
- Закройте все окна, нажав OK, перезапустите компьютер.
Это ещё не всё! Вам будет мешать сообщение в трее о неработе службы «Клиент групповой политики».
Оно будет появляться каждый раз, уберите его
Чтобы его убрать, сделайте следующее:
- Запустите уже знакомый редактор реестра.
- Удалите из него папку HKLMSYSTEMCurrentControlSetControlWinlogonNotificationsComponentsGPClient.
Запустите редактор реестра и удалите из него папку GPClient
Предварительно сохраните эту папку в отдельный файл реестра. Это делается на случай, если работу службы нужно быстро восстановить, не переустанавливая Windows. После удаления папки перезапустите компьютер — уведомление больше не появится.
Локальная политика безопасности Windows 10 не включается
Причины, по которым не включается служба, следующие:
- вы скачали сборку ОС, в которой этот компонент отключён. Вам поможет код реестра (можно сохранить и запустить как отдельный reg-файл): Windows [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem] «EnableInstallerDetection»=dword:00000001. Перезапустите компьютер после запуска созданного твика;
- вы используете Win 10 Home. Поставьте сервис «Локальная политика безопасности самостоятельно, если у вас нет сборки Professional или Enterprise. Воспользуйтесь инструкциями для Windows 7 и выполните похожее для Windows 10;
- недостаточно прав, нужны «админские» права. Чтобы включить учётную запись администратора, воспользуйтесь командой «net user администратор /active:yes» в командной строке и зайдите в систему под именем администратора. Попытайтесь запустить редактор ГПБ заново известными выше способами. Как только надобность в GPEditor отпадёт и службу вы отключите, выйдите из учётной записи администратора и выключите его командой «net user администратор /active:no».
Видео: как установить редактор групповой политики в Windows
Службы и процессы групповой безопасности Windows — полезный инструмент, здорово выручающий в работе. Когда он не нужен, его легко выключить.
- Распечатать
Блоггер, копирайтер (в т. ч. и рерайтер)
Оцените статью:
- 5
- 4
- 3
- 2
- 1
(4 голоса, среднее: 2.5 из 5)
Поделитесь с друзьями!
В предыдущей статье мы рассказывали о том, как открыть редактор локальной групповой политики. На очереди – интерфейс политик безопасности, где собраны основные параметры безопасности работы компьютера. Настраиваемые параметры влияют на безопасную работу служб, сетей, реестра, приложений и проч. Политики безопасности являются частью локальных групповых политик, но со своим интерфейсом.
Где находится локальная политика безопасности?
В Windows 10 Это считается «классическим приложением. Открыть его можно тремся способами.
- Поиск.
Самый простой – найти «приложение» в поиске, который открывается комбинацией клавиш Win+S. Вписываем в поисковую строку ключевое слово – и кликаем на найденные политики. Дополнительно можно выставить фильтр «приложения».
- Выполнить.
Нажимаем комбинацию клавиш Win+R и прописываем команду secpol.msc.
Это два самых простых способа, как зайти в редактор. Есть еще один – через консоль управления компьютером, но он долгий и не совсем удобный.
В открытом редакторе можно задавать параметры для разных политик, тонко настраивая безопасность под конкретного пользователя или в локальной доменной группе. О том, как настроить политики безопасности, мы разберемся в следующей статье.
А пока почитайте другие интересные материалы:
Как открыть доступ к Google Forms?
Как отключить встроенную видеокарту?
Как создать кнопку выключения на рабочем столе Windows 10?
Пропал значок батареи в Windows 10: как вернуть?
Как посмотреть удаленное видео на YouTube?
Операционная система Windows всегда отличалась широким выбором возможных настроек, количеством выполняемых задач и поддерживаемых приложений. Но управлять таким объемом ресурсов было бы сложно, если бы не специальная программа, позволяющая изменить все необходимые параметры в одном месте. Именно для этих целей практически во всех версиях Windows, в том числе и в Windows 10, существует специальное приложение «Локальная политика безопасности».
Зачем нужно приложение «Локальная политика безопасности»
В этом приложении находятся разнообразные настройки как для всей системы, так и для отдельных ее пользователей. С помощью этой программы можно выставить различные параметры и ограничения для системы, изменить настройки реестра, удалить или настроить приложения, установленные на компьютере.
В левой стороне окна программы вы можете использовать дерево папок, которое разбито на два самых больших раздела: конфигурация компьютера и пользователя. В каком из них работать зависит от того, хотите ли вы внести изменения для всех пользователей вашего компьютера или только для одного. Если вас интересует первый вариант, то могут понадобиться права администратора.
Каждый из основных разделов имеет три подпункта, в которых находятся все настройки и функции для определенного типа файлов:
- Конфигурация программ — в этом пункте выполняются настройки приложений, установленных на компьютере.
- Конфигурация системы — настройки операционной системы и параметров, относящихся к ее работе и безопасности.
- Административные шаблоны — то же самое, что и редактор реестра, но в другом оформлении. В этом разделе вы можете сделать все настройки, которые можно выполнить через редактор реестра.
Основные подразделы
Как открыть программу — инструкция
- Первый вариант: используя поиск Windows, найдите само приложение, введя его название: gpedit.msc.
Ищем программу gpedit.msc - Второй вариант: находясь в поисковой строке Windows, откройте приложение «Выполнить».
Открываем программу «Выполнить» - Пропишите и выполните команду gpedit.msc.
Выполняем команду gpedit.msc
Почему приложение отсутствует на компьютере
Программу «Локальная политика безопасности» отсутствует в домашней и в домашней расширенной версии Windows. Запустить и использовать ее можно только в версии «Профессиональная» или «Максимальная».
Что делать, если редактор групповой политики не открывается
Сначала убедитесь, что ваша операционная система предусматривает наличие программы. Если причина проблемы не в этом, а при попытке открыть программу появляется ошибка, сообщающая, что выполнение операции невозможно, то используйте инструкцию, приведенную ниже.
- Выходом из сложившейся ситуации является ручная установка локальной групповой политики. Сначала переходим на официальный сайт Microsoft (http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=25250) и скачиваем установочный файл программы.
Скачиваем программу - Запустите процесс установки и, если вы используете 64-разрядную операционную систему, то, доведя его до конца, не закрывайте окно, не нажимайте кнопку Finish. Сначала выполните следующие действия.
Устанавливаем программу - Используя поисковую строку Windows, откройте программу «Выполнить».
Открываем программу «Выполнить» - Пропишите и выполните команду %WinDir%Temp, чтобы перейти к нужной папке. Скопируйте из нее файлы dll, fde.dll, gptext.dll, appmgr.dll, fdeploy.dll и перенести их в папку System32, находящуюся на диске C. Также перенесите элементы GroupPolicy, GroupPolicyUsers, GPBAK, gpedit.msc, находящиеся в папке C:WindowsSysWOW64, в ту же папку System32.
- Перезапустите компьютер.
Перезагружаем компьютер - Готово, теперь программа должна начать открываться.
Пробуем открыть программу - Если программа не открывается при помощи выполнения команды, то можно попробовать перейти в папку C:WindowsTempgpedi и запустить файл в формате .bat с именем в честь разрядности вашей системы вручную.
Переходим по указанному пути
Отмена внесенных изменений (отключение) через локальную политику безопасности
Если вы стакнулись с тем, что после изменений параметров в приложении у вас появились ошибки в системе, или она стала работать некорректно, то необходимо выполнить откат всех выполненных настроек до значения по умолчанию:
- Используя поисковую строку Windows, откройте командную строку, прибегнув к использованию прав администратора.
Открываем командную строку - Пропишите и выполните команду secedit /configure /cfg %windir%infdefltbase.inf /db defltbase.sdb /verbose.
Выполняем команду - Перезапустите компьютер. Готово, все внесенные изменения сброшены до значения по умолчанию, а все ошибки, появившиеся из-за настроек локальной политики безопасности, должны пропасть.
Перезагружаем компьютер
Не стоит изменять настройки локальной политики безопасности в том случае, если вы не разбираетесь в этом или не имеете надежной инструкции, так как это может привести к тому, что вы вызовете появление разнообразных ошибок или полому системы. Если вы решитесь внести какие-либо изменения, то проверяйте результат своей работы после редактирования каждого параметра отдельно, чтобы вовремя заметить, что ваши действия вызвали нежелательный результат.
- Распечатать
Оцените статью:
- 5
- 4
- 3
- 2
- 1
(0 голосов, среднее: 0 из 5)
Поделитесь с друзьями!
- Remove From My Forums
-
Question
-
Hello,
I need to disable new user accounts creation by the non-admin users on computers with Windows 10 Home edition OS. Unfortunately, Windows 10 Home edition doesn’t have Local Security Policy editor MMC — secpol.msc
So how could it be done by some other means: command prompt commands, direct registry editing, and/or scripting?
-
Edited by
Tuesday, August 4, 2015 5:56 PM
-
Edited by
Answers
-
Hi,
During my test, a standard account have non option to create new user. Therefore, we don’t need to change or configure Local Security Policy.
However, the setting in Local Security Policy also store in regedit.
Hope it will help.
Please remember to mark the replies as answers if they help, and unmark the answers if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.
Allen Wang
TechNet Community Support-
Proposed as answer by
Allen_WangJF
Tuesday, August 18, 2015 12:35 PM -
Marked as answer by
Kate LiMicrosoft employee
Thursday, August 27, 2015 7:36 AM
-
Proposed as answer by
- Remove From My Forums
-
Question
-
Hello,
I need to disable new user accounts creation by the non-admin users on computers with Windows 10 Home edition OS. Unfortunately, Windows 10 Home edition doesn’t have Local Security Policy editor MMC — secpol.msc
So how could it be done by some other means: command prompt commands, direct registry editing, and/or scripting?
-
Edited by
Tuesday, August 4, 2015 5:56 PM
-
Edited by
Answers
-
Hi,
During my test, a standard account have non option to create new user. Therefore, we don’t need to change or configure Local Security Policy.
However, the setting in Local Security Policy also store in regedit.
Hope it will help.
Please remember to mark the replies as answers if they help, and unmark the answers if they provide no help. If you have feedback for TechNet Support, contact tnmff@microsoft.com.
Allen Wang
TechNet Community Support-
Proposed as answer by
Allen_WangJF
Tuesday, August 18, 2015 12:35 PM -
Marked as answer by
Kate LiMicrosoft employee
Thursday, August 27, 2015 7:36 AM
-
Proposed as answer by
Компонент gpedit.msc является важной утилитой ОС. В ее работе могут происходить сбои и пользователь получает ошибку — gpedit.msc не найден в Windows 7, 8, 8.1 или 10. Необходимо разобраться, как устранить имеющиеся неисправности.
Редактор локальной групповой политики gpedit.msc и secpol.msc является стандартным средством операционной системы Windows, при этом консоль работает на русском языке. Он представляет собой гибкий инструмент для настройки ОС. С помощью него можно осуществлять управление аккаунтом, разрешать и запрещать некоторые операции. Стоит отметить, что редактор групповой политики установлен в Windows 10 Professional, Windows 7 Enterprise и выше. В начальных версиях разработчики его не встроили.
Такая же проблема встречается у пользователей более ранних ОС, например, Windows XP. В ней подобием gpedit.msc, является secpol.msc, представляющая собой «Локальную политику безопасности» и встроенная в старшие версии системы.
Можно выделить несколько причин, по которым отсутствуют данные утилиты:
- удаление или повреждение системных компонентов утилит gpedit.msc и secpol.msc,в следствие чего система их не находит. Причиной данной проблемы может являться вирусная активность или ситуация, когда пользователь случайно удалил ПО;
- сбой при установке операционной системы. В этом случае могут произойти ситуации, когда некоторые системные утилиты попросту не установились в связи с повреждением дистрибутива или сбоем самой установки;
- на компьютере установлена начальная версия ОС, в которой не предусмотрена данная утилита.
Важно знать, что метод устранения неисправности будет напрямую зависеть от того, какая причина повлекла за собой возникновение проблемы.
Групповая (локальная) политика безопасности (ГПБ/ЛПБ) — это программные средства, обеспечивающие согласованную и максимально эффективную работу компьютеров компании или учреждения. Иметь высокую производительность труда, экономя время и ресурсы — это о вас, если на ПК и ноутбуках под управлением Windows работают настройки группового соединения: вместе эти компьютеры образуют единое целое, помогающее вашей конторе расти и развиваться дальше. Для этого требуется их подключение к одному домену.
Какая версия Windows 10 подходит для настроек групповой политики
Вам нужна Professional/Enterprise — её используют работники частных фирм и госслужащие. Дело в том, что в версии Home/Starter, предназначенной для обычных пользователей, нет компонента gpedit.exe (англ. Group Politics Editor) — нужна его принудительная установка.
Почему в Windows Home/Starter нет инструмента GPEdit
В Home/Starter ГПБ представлена лишь службой «Клиент групповой политики», которую можно отключить совсем. Да и зачем она, если доступ к расширенным настройкам закрыт? Сделано это для предотвращения изменений, вносимых в настройки ОС вредоносным ПО под именем администратора.
Погружение в шаблоны и приручение GPO Windows
В очередной статье из цикла «конспект админа» мне хотелось бы освежить в памяти несколько нюансов использования групповых политик. Заодно поразвлекаемся с созданием своих шаблонов и с автоматизацией работы с этими самыми политиками.
Я не буду рассказывать, что такое групповые политики, и остановлюсь лишь на основных моментах, которые стоит иметь в виду при работе с ними.
В системах Windows помимо доменных существуют и локальные групповые политики ― управлять ими можно при помощи оснастки gpedit.msc на системах редакции Professional и выше. Часто считается, что без домена можно настраивать локальные групповые политики только для всех пользователей на компьютере. Это не совсем верно ― с выходом Windows Vista появилась возможность использовать множественную локальную групповую политику или MLGPO. Этот механизм позволяет настраивать отдельные политики для разных пользователей.
Добраться до него можно через вызов консоли mmc: при добавлении оснастки «Управление объектами групповой политики» нажать кнопку «Обзор». Далее на вкладке «Пользователи» уже можно выбрать конкретного пользователя или группу «Администраторы» и «Не администраторы». К сожалению, управление для группы пользователей не реализовано.
Бывало и так, что на отдельностоящем терминальном сервере разворачивали Active Directory только для того, чтобы отдельному пользователю настроить поведение драйвера для EasyPrint. Не надо так.
При добавлении доменных групповых политик стоит помнить про порядок их применения ― политика, примененная последней, будет обладать наивысшим приоритетом (да и на собеседованиях часто спрашивают).
Итак, предположим, что у нас есть компьютер в домене и четыре групповые политики: локальная на этом компьютере; политика на подразделение, в котором находится компьютер; политика на домен и политика на лес. Порядок их применения будет следующим:
- Локальная групповая политика.
- Групповая политика сайта.
- Групповая политика домена.
- Групповая политика верхнего подразделения.
- Групповая политика дочернего подразделения.
То есть чем ближе к объекту, тем приоритетнее, за исключением локальной групповой политики. Если надо отключить применение вышестоящих политик, то ставьте блокировку наследования.
Любую групповую политику можно условно разделить на две конфигурации ― пользователя и компьютера. Обычно политики с настройками компьютеров назначаются на подразделение, в котором находятся компьютеры. А политики с настройками пользователей ― на пользователей.
Если надо применить настройки компьютера к подразделению с пользователями и наоборот, используют так называемое замыкание групповой политики. Например, такая настройка пригодится, когда нужно применить специфические политики к пользователям для работы на терминальных серверах.
Работа замыкания настраивается непосредственно в политике ― «Настройка компьютера ― Административные шаблоны ― Система ― Режим обработки замыкания пользовательской групповой политики». Подробнее про механизм уже писали в статье про использование MergeReplace в GPO. Я лишь добавлю, что режим замыкания групповой политики ― тоже частый вопрос на собеседовании.
Физически доменные групповые политики находятся в папке SYSVOL на контроллерах домена. Папка реплицируется между контроллерами. Каждая групповая политика выглядит как папка с именем в виде GUID.
Правила фильтрации, настраиваемые через редактор групповой политики, соответствуют настройкам прав NTFS на соответствующую подпапку.
Говоря о правилах фильтрации, нельзя не упомянуть обновление MS16-072, которое «сломало» групповые политики. Теперь для того чтобы работали правила фильтрации, надо добавлять к каждому фильтру правило «на чтение», но не «на применение» группе Domain Computers.
В каждой папке с групповой политикой существуют подпапки Machine и User, соответствующие настройкам пользователя и компьютера. Если углубиться в подпапки, можно легко понять структуру групповой политики:
- В корне папки находится файл GPT.ini с настройками групповой политики, такими как ее название.
- В подпапках Machine и User сидят файлы registry.pol с настройками соответствующих веток реестра.
- По пути MicrosoftWindows NTSecEdit можно найти шаблон настроек безопасности ― GptTmpl.inf.
- В подпапке Preferences находятся предпочтения групповых политик, представляющие из себя подпапки с файлами xml.
- В подпапке Applications сидят дистрибутивы для развертывания через групповые политики.
- В папке Scripts находятся скрипты на logonlogoff для пользователя и startupshutdown для компьютера.
- В папке Documents and Settings есть настройки перенаправления пользовательских папок.
- Наконец, в папке Adm находятся устаревшие шаблоны групповой политики.
Подробнее про структуру можно почитать в материале Group Policy Basics, поэтому перейдем сразу к шаблонам.
По сути своей административные шаблоны ― это специальные файлы с инструкциями по изменению клиентского реестра (ветки HKCU или HKLM) и настройками отображения изменяемых параметров через «Управление групповой политикой». В принципе, реестр можно менять и через «Предпочтения групповых политик». Но разница здесь не только в красивом интерфейсе.
Способ изменения реестра | Как ведет себя при удалении политики со стандартными настройками | Можно ли изменить параметр вручную | Можно ли изменить параметр через приложение |
Шаблоны | Параметр реестра восстанавливается на значение «по умолчанию», если настройки по умолчанию есть в шаблоне | — | — |
Предпочтения политик | Параметр реестра не изменяется | + | + |
Сравнение предпочтения групповых политик и административных шаблонов.
Другими словами, настройка реестра через шаблоны групповых политик более строгая. Тогда как настройка через предпочтения групповых политик напоминает периодическое применение reg-файла. Конечно, предпочтения позволяют не только менять параметры реестра, но и довольно гибко настраиваются. Тем и ценны.
Это актуально при изменении ветки Policies, и настраиваемое приложение должно хранить свои настройки в реестре. Простое изменение параметров через Предпочтения и Шаблоны будет работать схожим образом, только шаблоны могут оказаться удобнее.
До появления Windows Vista2008 в качестве шаблона групповых политик брали исключительно стандарт .adm. Будучи с простой структурой, которую было легко редактировать вручную, этот стандарт обладал и рядом недостатков:
- Для каждого языка приходилось создавать отдельный файл шаблона.
- Файл шаблона физически находился в папке с групповой политикой. При использовании одного и того же шаблона он сохранялся в каждую папку, что увеличивало занимаемое место и время репликации.
- Не поддерживались мультистроковые параметры и параметры QWORD.
На замену устаревшему стандарту появился новый. Новые шаблоны представляют собой два файла: сам шаблон, не зависимый от языка ― .admx и языковой «пакет» к нему ― файл .adml. Теперь шаблоны можно «положить» в центральное хранилище, и обращаться к нему, не плодя одинаковые файлы в папке SYSVOL.
Не обошлось без ложки дегтя ― теперь содержимое файла представляет собой популярный в индустрии формат XML. И создавать новые шаблоны в блокноте стало уже не так удобно.
Под большинство параметров, которые могут понадобиться, шаблоны уже существуют. Кроме того, многие производители приложений выпускают свои административные шаблоны. Вот несколько примеров:
- MS Office 2020.
- FireFox и Thunderbird.
- Google Chrome.
- Adobe Acrobat и Reader.
- Каталог шаблонов для различного ПО.
Если возникает необходимость разработать и внедрить свой административный шаблон, то самый простой вариант ― это создать старый файл .adm и сконвертировать его в admx специальной утилитой. Вариант посложнее ― начинать сразу с .admx.
Для начала разберем простой пример. Создадим шаблон групповой политики, который позволит нам включать и выключать отображение скрытых и системных файлов, а заодно и отображение расширений.
Сразу скажу, что это можно провернуть через «Предпочтения групповых политик» ― в параметрах панели управления ― опции папки. Но мы легких путей не ищем и заодно не хотим, чтобы параметры отображения можно было менять вручную.
За необходимые нам параметры отвечают три ключа в реестре:
- SoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHidden.
- SoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedHideFileExt.
- SoftwareMicrosoftWindowsCurrentVersionExplorerAdvancedShowSuperHidden.
Содержимое ADM-шаблона, который разберем далее, под спойлером.
CLASS USER CATEGORY !!ShowExplorer POLICY !!ShowHiddenFiles KEYNAME «SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced» EXPLAIN !!ShowHiddenFilesExplanation VALUENAME «Hidden» VALUEON NUMERIC «1» VALUEOFF NUMERIC «2» END POLICY POLICY !!ShowFileExtensions KEYNAME «SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced» EXPLAIN !!ShowFileExtensionsExplanation VALUENAME «HideFileExt» VALUEON NUMERIC «0» VALUEOFF NUMERIC «1» END POLICY POLICY !!ShowSuperHiddenFiles KEYNAME «SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced» EXPLAIN !!ShowSuperHiddenFilesExplanation VALUENAME «ShowSuperHidden» VALUEON NUMERIC «1» VALUEOFF NUMERIC «0» END POLICY END CATEGORY [strings] ShowExplorer=»Отображение файлов в проводнике» ShowHiddenFiles=»Показывать скрытые файлы» ShowHiddenFilesExplanation=»Когда эта настройка включена, проводник будет показывать скрытые файлы.» ShowSuperHiddenFiles=»Показывать системные файлы» ShowSuperHiddenFilesExplanation=»Когда эта настройка включена, проводник будет показывать системные файлы» ShowFileExtensions=»Показывать расширения файлов» ShowFileExtensionsExplanation=»Когда эта настройка включена, проводник будет показывать расширения файлов»
Разберем подробнее синтаксис файла.
- CLASS. Может принимать значение USER или MACHINE ― в зависимости от класса будет изменятся ветка реестра HKCU или HKLM соответственно.
- CATEGORY. Строка, в которой задается имя «папки» политики.
- POLICY. В строке задается название конкретной политики ― у нас таких будет три.
- KEYNAME. Путь в реестре к изменяемым параметрам.
- EXPLAIN. Отсылка к «переменной» с объяснением настройки.
- VALUENAME. Название изменяемого параметра в реестре.
- VALUEON**VALUEOFF**. Значение, которое будет принимать параметр при включении и выключении его в политике.
- [strings]. Секция со значениями переменных, которые я использовал для текстовых строк. Можно их не использовать, но тогда могут быть проблемы из-за русского языка.
Помимо задействованных опций есть и другие, например:
- EDITTEXT. Текстовое поле для ввода.
- NUMERIC. Поле для ввода цифр.
- CHECKBOX. Список, где можно отмечать параметры «галочками».
- COMBOBOX. Список с «переключателем»
- DROPDOWNLIST. Выпадающий список.
- LISTBOX. Список для ввода нескольких элементов.
Подробнее со всеми параметрами можно ознакомится в разделе MSDN ADM Format.
Установить новый шаблон не просто, а очень просто ― достаточно щелкнуть правой кнопкой мыши по пункту «Административные шаблоны», выбрать «Добавление и удаление шаблонов» и добавить наш свежесозданный шаблон.
После установки шаблона он отобразится в ветке «Классические административные шаблоны».
Теперь можно сконвертировать наш шаблон в .admx с помощью утилиты faAdmxConv из ADMX Migrator.
После конвертации получившийся шаблон .admx и папку Ru-ru с файлом локализации .adml нужно скопировать в папку %Systemroot%PolicyDefinitions для локальной политики или в папку SysvolPolicyDefinitions на контроллере домена.
Полный листинг получившегося шаблона и файла локализации под спойлером.
Шаблон:
Файл локализации:
Отображение файлов в проводнике Показывать скрытые файлы Когда эта настройка включена, проводник будет показывать скрытые файлы. Показывать системные файлы Когда эта настройка включена, проводник будет показывать системные файлы Показывать расширения файлов Когда эта настройка включена, проводник будет показывать расширения файлов ADMX Migrator encountered a string that is not present in the source ADM string table. ADMX Migrator encountered a policy that does not have a supportedOn value.
Действительно, xml в новом формате читается чуть хуже, чем старый .adm. Для облегчения работы с новым форматом в поставке ADMX Migrator есть утилита faAdmxEditor.msc. Помимо этой утилиты есть и скрипты для конвертации reg-файлов в шаблоны, и сторонние платные утилиты.
Конечно же, можно обойтись без вот-этого-всего и разобраться самостоятельно ― оставлю это в качестве домашнего задания. Благо на портале MSDN есть подробное описание XML-схемы, и есть неплохие материалы с примерами в сети. Например, «Административные шаблоны групповой политики».
Теперь перейдем к автоматизации.
Работать с групповыми политиками из командной строки довольно тоскливо. Основных инструментов можно выделить три.
PowerShell. Есть набор командлетов для резервного копирования, восстановления и управления групповыми политиками. Создание новых политик ограничено ― можно лишь изменять реестр. Впрочем, в большинстве случаев и этого достаточно. В качестве примера создадим групповую политику, которая отключит автоматическое обновление Adobe Reader DC.
За отключение автоматического обновления отвечает ключ реестра bUpdater в ветке [HKEY_LOCAL_MACHINESOFTWAREPoliciesAdobeAcrobat ReaderDCFeatureLockDown]. Установив параметр в 0, мы отключим опцию.
Создание групповой политики на PowerShell будет выглядеть так:
Import-module -Name GroupPolicy Write-Host «Создаем новый объект политики с именем Adobe_Reader_disable_autoupdate» New-GPO -Name Adobe_Reader_disable_autoupdate Write-Host «Добавляем нужное нам значение реестра» Set-GPRegistryValue -Name «Adobe_Reader_disable_autoupdate» -key «HKLMSOFTWAREPoliciesAdobeAcrobat ReaderDCFeatureLockDown» -ValueName bUpdater -TypeDWord -value 0 Write-Host «Прилинковываем новый объект к нужному OU» Set-GPLink -Name Adobe_Reader_disable_autoupdate -Target «ou=Computers,dc=domain,dc=com» -LinkEnabled Yes
Свежесозданная групповая политика.
Полный список и описание командлетов доступны в материале Technet Group Policy Cmdlets in Windows PowerShell.
Интерфейс COM к GPMC (консоли управления групповой политикой). Способ позволяет сделать с политиками многое, на любом языке программирования, поддерживающим COM-интерфейсы. К сожалению, популярность он не приобрел и примеров в сети довольно мало, несмотря на богатое описание методов интерфейса на портале MSDN. Немногочисленные примеры использования доступны для загрузки в галерее Technet.
LGPO.exe. Не так давно Microsoft заменил набор утилит для работы с локальными групповыми политиками на единую утилиту. Скачать ее можно на официальном сайте. Утилита удобна для копирования и развертывания локальных групповых политик. Заявлена и поддержка MLGPO. Создавать свои политики тоже можно. Также программа удобна для создания и изменения файлов реестра registry.pol. Для примера изменим локальную групповую политику, добавив в нее отключение обновления несчастного Acrobat Reader DC.
Сделаем бэкап локальной групповой политики командой
lgpo.exe /b C:Temp /n «Backup»
В папке C:Temp появится подпапка с GUID по структуре схожая с доменными групповыми политиками:
Теперь развернем registry.pol в текстовый файл:
LGPO.exe /parse /m C:temp{GUID}DomainSysvolGPOMachineregistry.pol >> reg.txt
Синтаксис текстового файла очевиден. Добавим в него значения реестра для отключения автоматического обновления «Акробата»:
Теперь останется завернуть наш reg.txt обратно в registry.pol и импортировать изменившийся файл обратно в локальную групповую политику:
LGPO.exe /r C:Tempreg.txt /w C:Tempregistry.pol LGPO.exe /m C:Tempregistry.pol
Все эти махинации, конечно же, можно завернуть в один скрипт и использовать для массового изменения локальной групповой политики привычным инструментом для запуска команд на удаленных компьютерах. Подробнее про методы запуска команд можно почитать в нашей статье «1000++ способ запуска команд на удаленном компьютере».
Конечно же, зная структуру доменной групповой политики, ничто не мешает сделать удобный именно вам инструмент для создания и управления политиками. Поделитесь в комментариях, есть ли у вас свои способы настройки реестров пользовательских машин?
Где находится и как работает локальная политика безопасности
Локальные средства безопасности «десятки» управляются службой «Клиент групповой политики». Если эта служба отключена, средство Group Politics Editor не запустится или будет давать сбои в настройке.
Запуск редактора локальной политики безопасности Windows 10
Дайте команду «Пуск — Выполнить» и введите в открывшейся строке команду gpedit.msc.
Подтвердите ввод, нажав OK
Запустить редактор также можно, введя «gpedit» в поиске главного меню Windows 8/10.
Функционал редактора групповой политики
Настройка сервиса ГПБ включает в себя:
Как выключить локальную политику безопасности
Необходимо выключить службу «Клиент групповой политики». Но она «вшита» в Windows 7/8/10 настолько прочно, что остановить и деактивировать её с помощью встроенного мастера настройки служб, вызываемого из диспетчера задач, нельзя.
Самый действенный способ — вмешаться в реестр системы. Сделайте следующее:
- Войдите в уже знакомую строку запуска программ «Выполнить» и введите команду «regedit». Откроется редактор реестра.
- Перейдите в директорию HKLMSYSTEMCurrentControlSetServicesgpsvc (процесс gpsvc.exe, видимый в диспетчере задач при работе «Клиента групповой политики», запускается реестром Windows из этого места).
- Правый щелчок мышью откроет меню папки «gpsvc» — выберите «Разрешения».
В редакторе реестра находим папку «gpsvc», нажимаем «Разрешения» - Выберите другого владельца, зайдя в дополнительные параметры безопасности.
Без изменения имени вы не сможете добраться до полного доступа к процессу gpsvc - Отметьте все разрешения. Желательно удалить лишних пользователей из настройки неограниченного доступа к службе.
Отметьте все разрешения, удалите лишних пользователей из настройки дополнительного доступа в графе «Группы или пользователи» - Вернитесь к папке gpsvc в данной директории реестра и измените ключ Start, введя значение 4 («Отключено»).
В папке gpsvc измените ключ Start, введя значение 4, и система отключится - Закройте все окна, нажав OK, перезапустите компьютер.
Это ещё не всё! Вам будет мешать сообщение в трее о неработе службы «Клиент групповой политики».
Оно будет появляться каждый раз, уберите его
Чтобы его убрать, сделайте следующее:
Предварительно сохраните эту папку в отдельный файл реестра.
Это делается на случай, если работу службы нужно быстро восстановить, не переустанавливая Windows. После удаления папки перезапустите компьютер — уведомление больше не появится.
Локальная политика безопасности Windows 10 не включается
Причины, по которым не включается служба, следующие:
- вы скачали сборку ОС, в которой этот компонент отключён. Вам поможет код реестра (можно сохранить и запустить как отдельный reg-файл): Windows «EnableInstallerDetection»=dword:00000001. Перезапустите компьютер после запуска созданного твика;
- вы используете Win 10 Home. Поставьте сервис «Локальная политика безопасности самостоятельно, если у вас нет сборки Professional или Enterprise. Воспользуйтесь инструкциями для Windows 7 и выполните похожее для Windows 10;
- недостаточно прав, нужны «админские» права. Чтобы включить учётную запись администратора, воспользуйтесь командой «net user администратор /active:yes» в командной строке и зайдите в систему под именем администратора. Попытайтесь запустить редактор ГПБ заново известными выше способами. Как только надобность в GPEditor отпадёт и службу вы отключите, выйдите из учётной записи администратора и выключите его командой «net user администратор /active:no».
Видео: как установить редактор групповой политики в Windows
Службы и процессы групповой безопасности Windows — полезный инструмент, здорово выручающий в работе. Когда он не нужен, его легко выключить.
Вы пытаетесь запустить редактор локальной групповой политику с помощью команды gpedit.msc в Windows 10 Home? И вам выдает ошибку «Не удается найти gpedit.msc. Проверьте, правильно ли указано имя и повторите попытку»? Дело в том, что в редакции home ее попросту нет. Отсутствие редактора групповой политики в windows 10 home является головной болью для домашних пользователей. Они ограничены в настройках операционной системы. Все простые манипуляции, которые можно выполнить быстро и легко с помощью групповой политики, приходится редактировать через редактор реестра, что является для простых пользователей очень непонятно, запутано и сложно.
Групповая политика — это инструмент, который позволяет сетевым администраторам изменять возможность включения, отключения многих важных параметров. Содержит все настройки, которые могут быть изменены через рабочий стол в пару кликов, но к сожалению Microsoft не включает функцию Gpedit в редакцию Windows 10 Home. И соответственно домашним пользователям приходится изменять «кошерные» параметры через реестр.
Пример последовательности действий при редактировании определенной политики
Чтобы на примере рассмотреть настройку политик, в данной статье будет описан механизм скрытия всех апплетов Панели управления, кроме определенных. При администрировании рабочей станции иногда бывает целесообразно скрыть для неопытного пользователя большую часть апплетов Панели управления, оставив только необходимые. Для этого:
- Войти в систему под учетной записью администратора.
- Запустить Редактор локальной групповой политики Открыть окно Выполнить,
- Ввести gpedit.msc,
- Нажать Enter.
Рис.8 Редактирование параметра политики Отображать только указанные объекты панели управления
- Дважды щелкнуть ЛКМ по параметру политики Отображать только указанные объекты панели управления.
- Выбрать значение Включено.
Рис.9 Редактирование параметра политики Отображать только указанные объекты панели управления
- Нажать кнопку Показать, чтобы вызвать диалоговое окно Вывод содержания.
- Ввести имя апплета или апплетов, которые необходимо показывать в Панели управления, и нажать Enter.
Рис.10 Список разрешенных элементов панели управления
- Нажать OK.
- Закрыть редактор локальной групповой политики
- Проверить результат
Для некоторых политик, чтобы изменения вступили в силу сразу, необходимо в окне Выполнить ввести gpupdate /force .
Рис.11 Список элементов панели управления до изменения параметра локальной групповой политики
Рис.12 Список элементов панели управления после изменения параметра локальной групповой политики
Изменения, которые вносятся через редактор локальной групповой политики, будут применены для всех учетных записей, зарегистрированных в системе, включая учетную запись администратора, который инициировал изменения.
Чтобы настраивать политики для конкретных пользователей, в операционной системе Windows применяется многоуровневая локальная групповая политика:
- стандартная локальная групповая политика, позволяющая изменять системные и пользовательские настройки, которые будут применены для всех пользователей операционной системы;
- групповая политика для администраторов и не администраторов. Эта групповая политика содержит только конфигурационные параметры пользователя и применяется в зависимости от того, является ли используемая учетная запись пользователя членом локальной группы Администраторы или нет;
- групповая политика для конкретного пользователя. Эта групповая политика содержит только конфигурационные параметры конкретного пользователя
Активировать редактор локальной групповой политики Gpedit.msc в Windows 10 Home
В Windows 10 нет встроенного инструмента, который может активировать редактор локальной групповой политики. Таким образом, единственный способ — это помощь сторонней утилиты Policy Plus с русским интерфейсом.
Policy Plus
Policy Plus — это бесплатная программа, которая отлично активирует редактор локальных групповых политик «Gpedit.msc» в Windows 10 Home. Этот инструмент приобретает лицензию для работы в Windows 10, поэтому вы можете запускать ее без каких-либо проблем с нарушением условий. Policy Plus напоминает реальный редактор политики Windows 10 Group.
Шаг 1
. Загрузите Policy Plus из
репозитория Github
. Как только загрузка закончится, откройте файл, и вы сразу получите простой чистый интерфейс, имеющий все параметры политики в категориях и подкатегориях.
Шаг 2
. Нажмите «
Help
«, а затем «
Acquire ADMX Files».
В появившимся окне нажмите «
Begin
» (начать). Это загрузит полный набор политик от Microsoft.
Шаг 3
. Можете приступать к настройкам параметров вашей системы windows 10 Home.
Вы пытаетесь запустить редактор локальной групповой политику с помощью команды gpedit.msc в Windows 10 Home? И вам выдает ошибку «Не удается найти gpedit.msc. Проверьте, правильно ли указано имя и повторите попытку»? Дело в том, что в редакции home ее попросту нет. Отсутствие редактора групповой политики в windows 10 home является головной болью для домашних пользователей. Они ограничены в настройках операционной системы. Все простые манипуляции, которые можно выполнить быстро и легко с помощью групповой политики, приходится редактировать через редактор реестра, что является для простых пользователей очень непонятно, запутано и сложно.
Групповая политика — это инструмент, который позволяет сетевым администраторам изменять возможность включения, отключения многих важных параметров. Содержит все настройки, которые могут быть изменены через рабочий стол в пару кликов, но к сожалению Microsoft не включает функцию Gpedit в редакцию Windows 10 Home. И соответственно домашним пользователям приходится изменять «кошерные» параметры через реестр.
Внесение изменений в UAC
Если Вам надоело всплывающее окно, которое появляется каждый раз, когда Вы пытаетесь запустить стороннее приложение, значит необходимо изменить некоторые параметры управления учетными записями. Для этого:
- Переходим к папке «Конфигурация ПК», затем – «Конфигурирование Windows». После этого открываем директорию «Параметры безопасности», переходим в «Локальные политики».
- Справа отобразится перечень настроек. Нас интересует следующая опция: «Запрос согласия для исполняемых файлов не из Windows».
- Чтобы полностью отказаться от появления уведомлений, выбираем из списка вариант «Повышение без запроса».
Это лишь парочка простейших примеров, которые могут помочь в решении некоторых проблем. Я рекомендую более подробно изучить работу данного системного клиента, чтобы научиться управлять большинством возможностей Windows 10.
Может Вы поделитись своими способами применения групповых политик в Windows. Буду ждать Ваших примеров в комментариях.
Активировать редактор локальной групповой политики Gpedit.msc в Windows 10 Home
В Windows 10 нет встроенного инструмента, который может активировать редактор локальной групповой политики. Таким образом, единственный способ — это помощь сторонней утилиты Policy Plus с русским интерфейсом.
Policy Plus
Policy Plus — это бесплатная программа, которая отлично активирует редактор локальных групповых политик «Gpedit.msc» в Windows 10 Home. Этот инструмент приобретает лицензию для работы в Windows 10, поэтому вы можете запускать ее без каких-либо проблем с нарушением условий. Policy Plus напоминает реальный редактор политики Windows 10 Group.
Шаг 1
. Загрузите Policy Plus из
репозитория Github
. Как только загрузка закончится, откройте файл, и вы сразу получите простой чистый интерфейс, имеющий все параметры политики в категориях и подкатегориях.
Шаг 2
. Нажмите «
Help
«, а затем «
Acquire ADMX Files».
В появившимся окне нажмите «
Begin
» (начать). Это загрузит полный набор политик от Microsoft.
Шаг 3
. Можете приступать к настройкам параметров вашей системы windows 10 Home.
Пользователи Windows 10, у которых установлена «Начальная» или «Домашняя» версии, сталкиваются с проблемой при выполнении команды gpedit.msc. На экране появляется надпись: «Не удается найти «gpedit.msc». Проверьте, правильно ли указано имя и повторите попытку». Почему редактор локальной групповой политики (который вызывается командой gpedit.msc) не найден в Windows 10, читайте в рамках данной статьи.
Перенос файлов
Многие пытаются просто скопировать gpedit.msc из дериктории System32 в аналогичную позицию на Windows 10 home. Но при попытке запуска появляется окно следующего рода.
Кое-где говорится, что нужно поставить FrameNetwork 3.5, но по нашим данным это не соответствует действительности. Тем не менее, можете это сделать из командной строки, запущенной от имени администратора (Win + X), введя рекомендуемую команду: dism /online /enable-feature /featurename:NetFx3 /All /Source:X:sourcessxs /LimitAccess. Вместо Х подставьте установочный носитель (флэш или DVD с ОС Windows 10).
Вы увидите, что это ничего не меняет. Согласно нашим данным, на сайте Майкрософт опубликовано решение проблемы. Читайте дальше!
О редакторе
Редактор локальной групповой политики по своей сути является редактором реестра с графическим интерфейсом. Он предназначен для проведения тонких настроек Windows. В данный момент, разработчики вырезали редактор в версиях Домашняя (Home) и Начальная (Starter), оставив его в Windows 10 Профессиональная (Pro) и Корпоративная (Enterprise). Официально, воспользоваться редактором в версиях где он вырезан не получится, поэтому пользователи могут проделать необходимые настройки в редакторе реестра. Но можно вернуть кастомный «редактор с графическим интерфейсом».
Совет! Узнать соответствие политик редактора со значением реестра помогут специальные таблицы от Microsoft: Group Policy Settings Reference for Windows and Windows Server .
Как установить?
Есть 2 решения:
- перенос файлов редактора из версии Pro, установка компонентов из дистрибутива и установка неофициального приложения, скомпилированного в установщик пользователем для Windows 7 (но оно подходит для версий 8.1 и 10);
- установка приложения с последующим переносом системных файлов и библиотек.
Важно! Так как вы будете работать с системными файлами, всегда есть вероятность повреждения системы. Рекомендую .
Способ 1
Чтобы перенести файлы нужны права администратора.
Полезно знать! В Windows 10 разработчики отключили функцию входа в безопасный режим по нажатию кнопки F8 перед загрузкой системы. Они это сделали для более быстрой загрузки ОС. .
Отключение UAC
- Нажмите правой кнопкой мыши по «Пуск» и выберите «Панель управления».
- Перейдите в раздел «Учетные записи пользователей».
- В новом окне нажмите «Изменить параметры контроля учетных записей».
- Поставьте ползунок в крайнее нижнее состояние «Никогда не уведомлять» и нажмите «ОК».
Дополнительная настройка для 64-разрядной системы
Если у вас установлена 32-разрядная система, то не нужно производить никаких дополнительных действий, но если 64-разрядная (что более вероятно), сделайте следующее.
Нужно скопировать с папки SysWOW64 несколько файлов в папку System32. Для этого в проводнике зайдите в каталог:
где нужно найти следующие: GroupPolicy (каталог); GroupPolicyUsers (каталог); gpedit.msc (файл).
Отметьте эти файлы и папки, кликните правой кнопкой мыши и выберите «Копировать».
Затем перейдите по следующему пути:
Кликните в любом месте правой кнопкой мыши и выберите «Вставить».